病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
57344
影响系统:
WinNTWin2000WinXP
病毒行为:
病毒在客户计算机上成功运行后删除自身。
在客户计算机上创建事件"68483277"。
病毒创建线程,通过查找窗口的方法关闭卡巴的警告窗口和瑞星注册表监控提示窗口。
病毒文件"cmdbcs.dll"注入explorer.exe进程。
在客户计算机上安装钩子程序。
判定病毒文件"cmdbcs.dll"是否注入到以下进程:
client.exe
gameclient.exe
cabalmain.exe
lataleclient.exe
qq.exe
qqgame.exe
盗取客户计算机上的网络游戏《热血江湖》、《惊天动地》、《彩虹岛》、浩方对战平台、QQ、QQ游戏大厅的帐号信息并发送到指定的接收网址。
生成的文件:
%SystemRoot%\cmdbcs.exe
%SystemROot%\system32\cmdbcs.dll
创建的注册表:
注册表项名:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:cmdbcs
数据:"%SystemRoot%\cmdbcs.exe"
指定的接收网址:
hxxp://jt1.sou****.com/c**h/lin.asp?ks=xxx&a=xx&s=xx&u=xx&p=xx&sp=xx&r=xx
总结:此病毒运行后创建注册表启动项,以达到开机运行的作用,盗取客户计算机上的网络游戏《热血江湖》、《惊天动地》、《彩虹岛》、QQ、QQ游戏的帐号信息。